Bence
10 °C
25 °C

Sms-ben támadható a mobil

2009.04.22. 15:40 Módosítva: 2009-04-22 15:41:58
Rosszindulatú támadók egyetlen szöveges üzenettel eltéríthetik az áldozatuk mobiltelefonját, és kényes adatokat nyúlhatnak le.

A vállalati informatikai termékeket gyártó Trust Digital két videót készített arról, hogy miként lehet a mobilokat távolról megtámadni. Dan Dearing, a Trust Digital marketingese először az „éjjeli rajtaütés” névre keresztelt eljárást mutatja be. A támadás neve abból ered, hogy akkor a leghatékonyabb, amikor a célszemély már alszik, de a telefonja be van kapcsolva.

A támadás menete egyszerű: küldenek egy wap push üzenetet a kiszemelt áldozat mobilszámára, a telefon automatikusan elindítja a beépített böngészőt, és betölt egy weboldalt, ahonnan kártékony kódokat tölt le. Ezeket a kódokat a támadó adatlopásra használhatja, vagy lehallgathatja a készüléken folyó beszélgetést.

Apró bökkenő, hogy ismerni kell a célszemély mobilszámát, a módszer csak Windows Mobile alapú mobilokon működik, a mobilon aktív internetkapcsolatnak kell lennie, és ha a mobilt úgy kell beállítani, hogy a wap push üzenetben érkező kódot automatikusan lefuttassa. Fontos megjegyezni, hogy aki úgy állítja be a mobilját (vagy bármilyen elektronikus eszközét), hogy automatikusan lefuttasson kívülről érkező kódokat, az a lehető legfelelőtlenebb felhasználó.

Egy másik bemutatóban Dearing a wifis adatforgalmat hallgatja le. A támadó egy speciális szöveges üzenetet küld el a célszemély mobiljára, ami éppen egy wifi hotspotra csatlakozik, majd letiltja a titkosított adatátvitelt és megfejti a wifin át küldött üzeneteket. Mivel ez esetben a fenti feltételeken kívül (mobilszám ismerete, a wap push felelőtlen beállítása) a támadónak még a célpont közelében is kell lennie, egyszerűbb megoldásnak tűnik egyszerűen ellopni az áldozat mobilját.